パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WindowsのASN.1ライブラリに致命的な欠陥、影響は特大」記事へのコメント

  • 今回のような脆弱性の発見報告からpatchの公開まで半年かかると
    いった場合も考えると、脆弱性発見者が期限付きで管理者のみに
    告知し、期間を過ぎたら公開という対応は問題があるのではないでしょうか?
    やはり脆弱性情報は対象企業・団体と調整の上で公開すべ
    • 同意です。
      期限は、対策までの期限でもあるけど、
      返事をもらうまでの期限でもありますよね。
      「問題点は確認できた。修正には時間がかかるからしばらく待ってくれ。」
      という返事がくれば、第1段階はクリアですよね。

      • 期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから

        1. 現象の確認および原因を確定する段階

          修正点(それによる副作用を含む), あるいは回避方法を確定する段階

          修正を行う場合に修正版が公開される段階

        のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的な

        • それを義務付けるなら質問者側にも義務付けたい。
          5W2Hがきちんとしていて、ちゃんと日本語になっている報告を。
          Q&AサイトでAを良く付ける側の方なら身に染みているでしょうが、
          きちんとした説明ができているQが如何に多くないか、という現実を
          無視してサイト側だけの義務を重くするのはバランス
          • 「義務づける」って、それで給料を貰ってる訳でもない善意の報告者にですか?

            5W2H(=問題点の切り分け)なんてのは、本来はfixする側の仕事でしょう。
            事前にわかってれば助かるというのは十分理解できますが。

            >無視してサイト側だけの
            • >> 無視してサイト側だけの義務を重くするのはバランスが悪いと思う。
              > と言いますが、サイトの安全性を確保するのは、サイト側の義務でしょう。
              > 報告者はそれに協力してるだけですよ。
              > 別に問題点を報告する義務なんてないのに。

              対応期限つきDisclosureを報告者に認めるのであれば、対応可能な報告であることを義務づける必要がありますよね。
              実質的に「このOSのどこかに脆弱性がある」と言っているのと変わらない情報しかなかったとすれば、期限を切られても対応できないでしょう。

              あれ、そんな情報、discloseされても誰も困らないか。
              親コメント
              • > あれ、そんな情報、discloseされても誰も困らないか。

                そういうのに限って晒す情報はこと細かく書いてあったり。(嫌
                気分次第ってのは始末に悪い、というケースはサポ担当なら
                経験多いことだと思う。

              • 対応期限つきDisclosureを報告者に認めるのであれば、対応可能な報告であることを義務づける必要がありますよね。

                なんだか、お役所みたいなことになりそうな予感。
                「あ、ここの項目間違えてますよ。書き直して下さい。」
                とか。

                #そして対応が遅れる、と。

最初のバージョンは常に打ち捨てられる。

処理中...